« ある意味、永遠の課題 | メイン | 元ボクシングヘビー級チャンピオンでシルーズ(略)ちょっと来い »

スーパーハカーちょっと来い

割と情報提供を求めるための情報。web屋としては恥ずべき話なんですが、管理しているとあるサイトが何者かに改竄されてしまいました。凹んでます。あんまり詳しく書くワケにも行かないのですが、web上で同様の被害例を見るに、どうやら最近軽く流行りだした手口っぽくて、共通項としてはCakePHPで構築されたサイト或いは同じサーバーにCakePHPで構築されたサイトが入っている所がやられている点が特徴として挙げられます。

そして、FTP経由で正面から正々堂々とログインしてきて機械的にファイルのダウンロード⇒改竄⇒アップロードを行うっぽいです。

具体的には、まずconfi*.phpや*/app/config/database.phpといったコンフィグ系のファイルのアタマに

で始まるちょいと長めのスクリプトが差し込まれます。

次に、*.jsファイルのほぼ全てのオシリに

という、なにやら怪しい実行文が追加されます。

更に、.htmlやら.htmやら.cfmやら、静的なファイルの大半にも、<body>タグ開始直前に

という、上記と同様の呪文が追加されます。手の込んだこって...。

これらが組み合わされて生成されたページを見るとどうなるかというと、知らない間に全然関係の無いサイトに、割と気付かないウチに接続されてウイルスをゲットしてくるという、どうしようもなく陰湿なトラップに掛かってしまう場合があるようです。もっとも、ウイルス防御ソフトでほぼ問題なく防げるようですし、害のサイトは早々に駆逐されたようです。またDBからごっそりデータを持って行かれたような形跡も、今の所無いので幸いにも大きな問題には発展しておりません。

さて、問題は外から弄られただけならまだマシだったのですが、FTPのパスワードを変更しても即、同じように真正面からログインして来やがったんですな、これが。とりあえず人為的な漏洩じゃ無いことは判ったので、シャットアウトしてお帰りいただき、次の可能性を探らねば。...サーバーの中にワームでも仕込まれた可能性が大ですな、これは。死ねばいいのに。

現時点での材料では、CakePHPに脆弱性があるんでは無かろうかと疑ってしまっておるわけですが、この件については引き続き調査し、新しいことが分かり次第お伝えできればと思います。

Googleブックマーク Yahoo!ブックマーク はてなブックマーク livedoor clipでブックマーク del.icio.usでブックマーク POOKMARK Airlinesに行き先登録

関連記事

トラックバック

このエントリーのトラックバックURL:
http://addressclub.net/cgi-bin/mt/mt-tb-ADC.cgi/333

コメント (3)

検索からきました。:

アップロードしているクライアントPCがGENOウイルスにかかってるのでは?

クライアントからFTPで接続した後に特定の名前の.php,.jsファイルを書き換えてアップロードしてるはずです。

cmd、regeditが立ち上がらないPCが犯人ですので、
その辺から探ってみてはどうでしょう。

穂谷屋:

うおおお!
ありがとうございます!
私の方でも今現在、身内のPCまたはバックアップ用のサーバーに容疑の目線が向いておりまして、これは大ヒントの予感でございますよ!!
早速調べてみます!これで帰れる!?
報告はまた追っていたします。大感謝です!

穂谷屋:

えー、携帯から続報なんですが私のPC、見事感染しておりました。

ぎゃあああああああ!

昨日感染した模様です。クリーンインストールしか道がないそうでorz

でも、最初の改ざんがあった土曜の早朝はどこから接続したんだろ?

つづく

コメントを投稿

(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)


アスキーアートを貼る場合は、
AAの直前に<span class="aa">、AAの直後に</span>を追加するといい感じになるかもです。
投稿ボタンを押してから、投稿完了までに少し時間がかかります。

アーカイブ

最近のトラックバック

携帯版

http://addressclub.net/mt4i/
Powered by MT4i

About

2009年4月14日 21:27に投稿されたエントリーのページです。

ひとつ前の投稿は「ある意味、永遠の課題」です。

次の投稿は「元ボクシングヘビー級チャンピオンでシルーズ(略)ちょっと来い」です。

他にも多くのエントリーがあります。メインページアーカイブページも見てください。